• Финансы

Неблагородные риски. Можно ли застраховать компанию от киберугроз?

Игорь Чичкан

Игорь Чичкан

руководитель отдела страхования финансовых рисков AIG в России
  • 6 мин
  • 788

Одна кибератака стоит крупной компании минимум 11 млн рублей, подсчитали в страховой компании AIG. Всего в 2019 году российская экономика могла потерять до 1,8 трлн рублей от действий IT-преступников. Можно ли застраховать компанию от киберрисков и почему российские компании пока не спешат это делать?

Чужой среди своих

Первыми потребителями киберстрахования в Европе были банки. В России этот продукт сначала заинтересовал представителей сервисных индустрий (коммуникационные агентства, например) — договоры с международными заказчиками накладывали определенные обязательства. Банковский сектор в России по-прежнему не часто прибегает к этому виду страхования, несмотря на уже очевидные риски. На сегодняшний день каждая третья хакерская атака в РФ приходится на кредитно-финансовую сферу. За последние два года некоторые из киберрисков успели оформиться в полноценный продукт — программы-вымогатели. Их создатели предлагают заинтересованным лицам (сотрудникам интересующей компании) соглашения о разделении доходов по «партнерским программам». Другими словами, хакеры предлагают войти с ними в долю в обмен на помощь в активации вредоносной программы. И низкое проникновение киберстрахования играет им на руку.

Причины непопулярности киберстрахования в России

Низкая осведомленность о киберрисках

Низкий уровень защищенности российских компаний (особенно малого и среднего бизнеса)

Низкий уровень подготовки сотрудников к разного рода кибератакам (особенно с использованием методов социальной инженерии)

Недостаточное финансирование борьбы с кибербезопасностью внутри компаний. В большинстве случаев доля IT-бюджета компаний, которая выделяется на борьбу с киберрисками, крайне мала

Проблемы регулирования 

Из-за недостаточной информированности в России создается ощущение, что на самом деле вероятность возникновения киберпреступлений невелика, но по факту ситуация прямо противоположная. Это ложное ощущение возникает, во-первых, из-за отсутствия законодательных требований уведомлять третьи лица в случае раскрытия конфиденциальной информации и реагировать на инцидент.

Вторая причина — низкие по сравнению с большинством стран штрафы за разглашение персональных данных и конфиденциальной информации. Например, в Европе, согласно общему регламенту по защите данных GDPR (General Data Protection Regulation), размер штрафа для компании за нарушение правил конфиденциальности или утечку персональных данных может достигать 20 млн евро, или 4% выручки (по всему миру за предшествующий финансовый год). В России же максимальный штраф составляет всего 75 тысяч рублей.

Классификация угроз 

Для того чтобы правильно оценивать возможные риски, необходимо уметь прогнозировать и моделировать результаты и последствия кибератак. А именно понимать, откуда угроза может прийти и какими могут быть последствия кибернападения. Предупрежден — значит вооружен.

Виды кибератак

Самыми опасными с точки зрения нанесенного ущерба являются первые три вида кибератак, так как размер ущерба от них настолько велик, что компания может оказаться на грани банкротства или потратить огромные суммы на восстановление системы и репутации.

Комплексная защита 

На российском рынке наибольшей популярностью среди тех, кто все же заботится о своей кибербезопасности, пользуется комплексный пакет страхования киберрисков. Это специальная программа страхования, которая обеспечивает информационную защиту данных предприятии от последствий их утечки или незаконного использования.

В случае возникновения инцидента страховая выплата будет компенсировать:

— убытки в результате претензий третьих лиц

— убытки в результате претензий по нарушению безопасности системы

— расходы на восстановление данных и систем (заражение вирусом, уничтожение, кража и раскрытие данных)

— расходы на экспертизу технических консультантов по восстановлению данных и систем

— судебные издержки

— расходы на уведомление субъектов данных

— расходы на ведение антикризисной коммуникации

— и одно из самых важных покрытий — убытки от перерыва в работе компании

Размер страхового возмещения определяется в каждом случае индивидуально и зависит от понесенных компанией расходов и потерь, а также лимитов, указанных в полисе. Например, расходы на восстановление ПО и техники являются наиболее простыми с точки зрения оценки. А вот убытки от вынужденного простоя и невыполнения контрактов нуждаются в более сложной оценке, основанной на построении модели бизнеса на период простоя с учетом множества факторов, которые влияли бы на бизнес в отсутствие киберинцидента. И для их оценки работают целые группы дипломированных бухгалтеров-криминалистов.

С каждым годом киберугрозы развиваются, и не всегда средства защиты и противодействия успевают за ними. В этих условиях важно не только помнить о необходимости застраховать себя, но и о важности комплексного подхода к борьбе с этой угрозой. Компании должны вводить практики по обучению персонала и просвещению сотрудников на предмет кибербезопасности, а также иметь в компании квалифицированных сотрудников по информационной безопасности. Игнорировать киберриски больше не получится, но ими можно управлять. Начать стоит с подробного и профессионального освещения ситуации и вывода проблемы киберрисков из информационного вакуума.

Читайте ещё